La Suisse doit renforcer sa capacité de résistance aux cyberattaques, de plus en plus nombreuses. Les agressions contre les infrastructures considérées comme critiques devront désormais être obligatoirement signalées, prévoit le Conseil fédéral dans un projet mis en consultation mercredi.
Les cyberattaques sont devenues l'une des principales menaces pour la sécurité et l'économie de la Suisse. Chaque jour, des entreprises et des administrations en sont victimes. En moyenne, le Centre national pour la cybersécurité (NCSC) reçoit plus de 300 annonces par semaine sur des tentatives de cyberattaques et des cyberattaques réussies.
Selon une étude, le nombre de telles attaques a augmenté l'an dernier de 65% par rapport à 2020. Les pirates ont principalement ciblé les entreprises industrielles, puis les acteurs de la santé, des sociétés financières ou des banques ainsi que des agences gouvernementales et militaires.
Pour l'instant, les annonces d'agressions virtuelles sont faites sur une base volontaire. Elles aident les autorités fédérales à évaluer le niveau de menace et à identifier les modes opératoires à un stade précoce.
Obligation de signaler
Mais les limites de ce système se font de plus en plus ressentir, vu le nombre croissant d'entreprises et d'infrastructures visées, constate le gouvernement dans son rapport sur le projet mis en consultation jusqu'au 14 avril 2022.
L'introduction d'une obligation de signalement est donc nécessaire à ses yeux. Elle assurera une vue d'ensemble plus complète de la situation et garantit qu'aucun opérateur d'infrastructure critique ne se soustrait à l'obligation d'avertir les autres de tout incident ou danger.
Par infrastructures critiques, on entend les autorités, les hôpitaux et laboratoires, les entreprises actives dans l'énergie, les organisations ayant des tâches publiques (sauvetage, traitement des eaux), les banques et les assurances, les services informatiques et de télécommunications, la SSR et l'agence de presse Keystone-ATS, les services postaux et les transports publics, l'aviation civile et l'approvisionnement en biens alimentaires.
L'obligation de signalement s'appliquera aux cyberattaques recelant un potentiel important de dommages, précise le Conseil fédéral. Il s'agit des attaques qui mettent en péril le bon fonctionnement des infrastructures ou qui s'accompagnent d'actes de chantage, de menaces ou de contrainte.
Procédures simples
Les signalements doivent être aussi simples que possible. Le NCSC mettra à disposition un formulaire électronique qui permettra de saisir facilement les déclarations. Au besoin, elles pourront être transmises directement à d'autres services.
Pour que le système fonctionne, il faut que l'introduction de l'obligation de signalement apporte une plus-value aux entreprises et aux organisations, constate le Conseil fédéral. Le NCSC offrira notamment une évaluation technique et son soutien dans la gestion d'une attaque.
Cette aide sera proposée en guise de premiers secours et ne devra pas concurrencer les prestations disponibles sur le marché. Le NCSC sera aussi chargé d'avertir le public des cybermenaces et de le sensibiliser aux cyberrisques.
Amendes
Des amendes sont aussi prévues pour les exploitants d'infrastructure critique qui ne joueraient pas le jeu. Le NCSC peut, en dernier recours, rendre une décision dont le non-respect est passible d'un montant maximal de 100'000 francs. (AWP)
